In tegenstelling tot wat eerder werd beweerd, is er wel een relatie tussen het geavanceerde Flame spionagevirus en Stuxnet. Dat laat Kaspersky Lab analist Aleks Gostev weten. In eerste instantie zagen experts geen verband tussen Flame aan de ene kant en Stuxnet en Duqu aan de andere kant. De laatste twee 'supervirussen' werden op het Tilded-platform ontwikkeld. Daarnaast verschilde de werking van Flame ook dusdanig van Stuxnet en Duqu, dat werd aangenomen dat er geen relatie was. Nu blijkt er toch een link te zijn.
De analisten ontdekten namelijk dat een module uit de 2009-versie van Stuxnet - bekend als “Resource 207” - eigenlijk een Flame-plugin was. Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet. Deze module zorgde voor de verspreiding via USB-sticks en de code van het USB-infectiemechanisme is in Flame en Stuxnet identiek.
Module
De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025. Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.
Volgens Gostev hebben vanaf 2010 de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe zero-day lekken.
Relatie
"Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platforms zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen", zegt Gostev. Hij denkt dat de teams al sinds 2007 of 2008 met de ontwikkeling van de malware bezig zijn.
"Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn."
Windows Update
"Als Flame in de VS is ontwikkeld, zou het betekenen dat Microsoft Update door een Amerikaanse overheidsdienst is gehackt. Microsoft zal laaiend zijn", zegt Mikko Hypponen van het Finse F-Secure. Hij sluit niet uit dat er ook met insiders is gewerkt om de werking van de Microsoft software te bestuderen. "Hoeveel NSA-mollen werken als ontwikkelaar bij Microsoft?"
Deze posting is gelocked. Reageren is niet meer mogelijk.